Wilson Vega
DirectorMientras las autoridades españolas daban cuenta de una recuperación del fluido eléctrico en un 60 por ciento del territorio afectado, el Centro Criptológico Nacional (CCN) no descartó, como sí pareció hacerlo el Gobierno, que la emergencia que afectó a España y Portugal pueda deberse a un ciberataque.
La entidad, que depende del Centro Nacional de Inteligencia (CNI), indicó que días antes del apagón del 28 de abril detectó una “gran actividad inusual procedente del Norte de África”.
Así las cosas, el CNI está investigando lo que consideró como “señales coincidentes con un riesgo alto de ciberamenaza”, que en lenguaje común son los preparativos de un ciberataque masivo. Tampoco se ha descartado un ataque de denegación de servicio en combinación con una inyección de comandos maliciosos.
Eso sí, las fuentes de inteligencia han sido enfáticas en decir que, por ahora, no hay manera de confirmar que el origen del apagón haya sido intencional y que la tesis inicial - un “fallo multicausal” en la red interconectada- sigue siendo la más probable a ojos de los investigadores.
Hay antecedentes
Pero, si la tesis del ciberataque llegara a confirmarse, no sería la primera vez.
Como lo recordó en su último informe de Tendencias en ciberseguridad 2025 la compañía especializada en la detección proactiva de amenazas Eset, el uso malicioso de la IA generativa tiene en la mira infraestructuras críticas y los ataques a estas serán una preocupación destacada en los próximos meses.
Por “infraestructura crítica” se alude a cualquier sistema, ya sea digital o físico, que brinda algún servicio esencial para el funcionamiento de la sociedad. En caso de verse afectado podría tener un impacto grave en algún área crítica como seguridad, economía, salud, energía, comunicaciones, entre otros.
Ya ha habido casos de ciberataques a infraestructuras críticas que han dejado grandes huellas en los países donde sucedieron. Uno de esos casos fue derivado del conflicto armado de Rusia-Ucrania, en donde cientos y miles de ucranianos se quedaron sin luz producto de un ataque bajo la amenaza de Black Energy en 2015.
Un año después, una familia de malware similar afectó a la capital ucraniana. Y además, también se identificaron intentos de ciberataques como el ocurrido en Estados Unidos hace algunos años atrás, en el que se buscó envenenar una planta potabilizadora, y se llegó cerca de afectar los servicios de agua y saneamiento.
“Como adelantamos en nuestro informe de Tendencias en ciberseguridad 2025, los ataques a infraestructuras críticas seguirán siendo una preocupación. Los sistemas OT (tecnología operativa) serán el objetivo clave, por su interconexión y su rol esencial en sectores estratégicos. Fortalecer su ciberseguridad será prioritario, considerando su vulnerabilidad demostrada en conflictos recientes, donde su explotación ha tenido graves consecuencias para las poblaciones afectadas”.--Martina López, Investigadora de Seguridad informática de Eset Latinoamérica.
Las amenazas que se dirigen a infectar estos sistemas críticos tienen diversos orígenes, aclaran desde Eset, ya sea políticos, económicos, financieros o activistas.
Desde el punto de vista técnico se suelen identificar amenazas como gusanos, botnets, troyanos, evidencias de ataques de phishing, exploits de vulnerabilidades 0-day, o no conocidas por sus creadores, y también, grupos APTs (Advanced Persistent Threats), que, como describe la investigadora de ESET, cuentan una dedicación y sofisticación superior a las se observa en las amenazas comunes dirigidas al usuario final.
Este tipo de ciberataques tiene una estructura muy similar a la que se observa, por ejemplo, en ataques a compañías tanto públicas o privadas. En primer lugar, un punto de entrada, puede ser la explotación de una vulnerabilidad en un sistema que quedó viejo, anticuado y no actualizado, o también un ataque de ingeniería social engañando a un colaborador o facilitador dentro del objetivo de ataque, ya sea la planta en donde está esa infraestructura o en el sistema.
En segundo lugar está la ejecución de la amenaza cuya intención es causar el mayor daño posible. Generalmente se realiza en un formato que puede tener como fin destruir o secuestrar (algún tipo de ransomware) los sistemas o la información.
“Entre el primer paso y el segundo pueden pasar horas, minutos, hasta días o meses, dependiendo del objetivo de los ciberatacantes. Los mismos suelen actuar en grupo, ya sea para recolectar información, obtener reconocimiento, causar el mayor daño posible o identificar una actividad operativa para poder atacar con más efectividad. De eso dependerá, por supuesto, no sólo el tipo de amenaza que se va a desplegar, destructiva, de secuestro o una que robe de información pero sin mayores sobresaltos y pasando desapercibida. Generalmente se suele tratar de grupos APT, o grupos de amenazas persistentes y avanzadas, en donde los objetivos, como decíamos, pueden ser variados. Los económicos, activistas, sociales, suelen ser los más comunes”.-- Martina López, Investigadora de Seguridad informática de Eset Latinoamérica.
Es importante que las empresas, así como los gobiernos, empiecen a implementar soluciones y planes que disminuyan los riesgos de sus infraestructuras críticas. Los expertos recomiendan implementar no solo soluciones de Threat Intelligence, sino que además implementar soluciones más proactivas, como Threat Hunting, para evitar caer en ataques que todavía no han sido detectados.
También es importante diseñar planes de respuesta ante incidentes, que sean claros y objetivos y elaborar planes de capacitación dirigidos al equipo de colaboradores en materia de seguridad de la información.
Ver 0 comentarios